Trojanac Masslogger u potrazi za krađom Outlook i Chrome kredencijala
Varijanta trojanskog programa Masslogger koristi se u napadima dizajniranim za krađu Microsoft Outlook-a, Google Chrome-a i kredencijala za messenger usluge.
Masslogger je prvi put primećen u aprilu 2020. godine
U sredu su istraživači sajber bezbednosti iz kompanije Cisco Talos rekli da je kampanja trenutno usredsređena na žrtve u Turskoj, Letoniji i Italiji, proširujući aktivnosti dokumentovane krajem 2020. godine koje su ciljale korisnike u Španiji, Bugarskoj, Litvaniji, Mađarskoj, Estoniji i Rumuniji. Čini se da se ciljevi menjaju približno na mesečnom nivou. Masslogger je prvi put primećen u aprilu 2020. godine. Novu varijantu Talos smatra „zapaženom“ zbog upotrebe kompajliranog formata HTML fajla za pokretanje lanca zaraze. Hakeri započinju napade na tipičan način, putem email phishinga.
U ovom talasu napada, phishing poruke se maskiraju kao poslovni zahtevi i sadrže .RAR priloge. Ako žrtva otvori attachment, on se deli u multi-volume arhive sa nastavkom „r00″. Zatim se izdvaja kompajlirana HTML datoteka .CHM – podrazumevani format za legitimne Windows Help files – koja sadrži HTML fajl sa ugrađenim JavaScript kodom. U svakoj fazi, kod je neuhvatljiv i na kraju dovodi do postavljanja PowerShell skripte koja sadrži Masslogger loader. Trojanska varijanta Masslogger, dizajnirana za Windows mašine i napisana u .NET-u, tada će započeti eksfiltraciju korisničkih podataka i nije previše izbirljiva u svojim ciljevima – u opasnosti su i privatni korisnici i preduzeća, iako se čini da se operateri ipak više fokusiraju na ove druge.
Nakon čuvanja u memoriji kao buffer, kompresovan sa gzip-om, zlonamerni softver započinje sakupljanje kredencijala. Microsoft Outlook, Google Chrome, Firefox, Edge, NordVPN, FileZilla i Thunderbird su među aplikacijama koje cilja Trojanac. Ukradene informacije mogu se slati putem SMTP, FTP ili HTTP kanala. Informacije otpremljene na server za eksfiltraciju, uključuju korisničko ime žrtve za računar, ID države, ID mašine i vremensku oznaku, kao i zapise koji se odnose na opcije konfiguracije i pokrenute procese. Posmatrana kampanja je gotovo u potpunosti izvedena i prisutna je samo u memoriji, što naglašava važnost sprovođenja redovnog i pozadinskog skeniranja memorije. Cisco Talos veruje da se na osnovu Indicators of Compromise (IoCs), sajber napadači takođe mogu povezati sa prošlom upotrebom AgentTesla, Formbook i AsincRAT trojanaca.
Izvor: Zdnet
